estándar de controles y auditoría de tecnología informática fernando izquierdo duarte 2002
TRANSCRIPT
Estándar de Controles y Auditoría de Tecnología Informática
Fernando Izquierdo Duarte2002
Reconocida como líder mundial en el gobierno, control
y evaluación de TI.
Information Systems Audit and Control Association®
Information Systems Audit and Control Foundation
Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de
investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la
tecnología relacionada
Information Systems Audit and
Control Association(ISACATM)
Information Systems Audit and Control Foundation
(ISACFTM)
Historia ISACA
• Fundada in 1969, como EDP Auditors Association
• Más de 26,000 miembros en más de 100 paises
• Más de 160 capítulos alrededor del mundo
• AntecedentesAntecedentes• Definición, Misión y UsuariosDefinición, Misión y Usuarios• Características GeneralesCaracterísticas Generales• PrincipiosPrincipios (Requerimientos de Información,
Recursos de TI y Procesos de TI)• Estructura de CobiTEstructura de CobiT• CobiT como ProductoCobiT como Producto (Componentes)• CobiT y Otros estándaresCobiT y Otros estándares
AntecedentesAntecedentes
• El gremio de profesionales en TI se mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés.
• LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dió a la tarea de dearrollar un conjunto común de conceptos sobre la materia.
AntecedentesAntecedentes
• COBIT Integra y concilia normas y reglamentaciones existentes como:– ISO (9000-3)– Códigos de Conducta del Consejo Europeo– COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de 1996• Se publica la 2a Edición en Abril de 1988• Se publicó la 3a Edición en Marzo de 2000
DefiniciónDefinición
CControl
OBOBjectives
for IInformation
and Related TTechnology
(Objetivos de Control para Tecnología de Información y Tecnologías realacionadas)
MisiónMisión
Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de
objetivos de control para tecnología de información que sea de uso cotidiano para
gerentes, auditores.
UsuariosUsuarios• La GerenciaLa Gerencia: para apoyar sus decisiones de
inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
• Los Usuarios FinalesLos Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente
UsuariosUsuarios
• Los AuditoresLos Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido.
• Los Responsables de TILos Responsables de TI: para identificar los controles que requieren en sus áreas
CaracterísticasCaracterísticas
• Orientado al negocio
• Alineado con estándares y regulaciones “de facto”
• Basado en una revisión crítica y analítica de las tareas y actividades en TI
• Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)
PrincipiosPrincipios
REQUERIMIENTOS DE INFORMACIÓN
DEL NEGOCIO
RECURSOSDE TI
PROCESOS DE TI
Requerimientos de la Requerimientos de la Información del Negocio Información del Negocio
Requerimientos de Calidad
Requerimientos Financieros
(COSO)
Requerimientos de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Calidad (Confiabilidad, amistosidad).
Costo.
Oportunidad.
Confidencialidad.
Integridad.
Disponibilidad.
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
• EfectividadEfectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable
• EficienciaEficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica)
• ConfidencialidadConfidencialidad: Protección de la información sensitiva contra divilgación no autorizada
• IntegridadIntegridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
Requerimientos de la Requerimientos de la Información del Negocio Información del Negocio
• DisponibilidadDisponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.
• CumplimientoCumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.
• ConfiabilidadConfiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Requerimientos de la Requerimientos de la Información del Negocio Información del Negocio
Recursos de TIRecursos de TI• DatosDatos: Todos los objetos de información. Considera información
interna y externa, estructurada o nó, gráficas, sonidos, etc.• AplicacionesAplicaciones: entendido como los sistemas de información, que
integran procedimientos manuales y sistematizados.• TecnologíaTecnología:incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
• InstalacionesInstalaciones:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
• Recurso HumanoRecurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
Procesos de TI Procesos de TI - Los Tres Niveles- Los Tres Niveles
DominiosAgrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Procesos
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividadeso tareas
Acciones requeridas para lograr un resultado medible. Las ActividadesTienen un ciclo de vida mientras que las tareas son discretas.
• Planeación y OrganizaciónPlaneación y Organización (Planning and Organization)
• Adquisición e implementaciónAdquisición e implementación (Acquisition and Implementation)
• Prestación de Servicios y SoportePrestación de Servicios y Soporte (Delivery and Support)
• SeguimientoSeguimiento (monitoring)
Procesos de TI Procesos de TI - Dominios- Dominios
Procesos de TI Procesos de TI - Procesos- Procesos
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Planeación y Organisación
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Procesos de TI Procesos de TI - Procesos- Procesos
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente
INFORMACIÓN
Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
EVENTOS
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
RegulaciónRiesgos
DatosApplicaciones
TecnologíaInstalaciones
Recurso Humano
Estructura deEstructura de
Procesos del Negocio
Recursos de TI
DatosAplicacionesTecnología
InstalacionesRecurso Humano
Información
Lo que usted Obtiene
Lo que Usted Necesita
Criterios
Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
Concuerdan
Estructura deEstructura de
Pro
ces
os
TI Dominios
Procesos
Actividades
CUBO de CobiTRelación entre loscomponentes
Da
tos
Ap
plic
aci
on
es
Te
cno
log
ía
Inst
ala
cio
ne
s
Re
cu
rso
Hu
ma
no
Recursos d
e TI
Calidad
Confiabilid
ad
Segurid
ad
Criterios de la Información (7)
Estructura deEstructura de
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad
Adquisición eImplementación
Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios
Seguimiento
Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente
Servicios y Soporte
Definición del nivel de servicioAdmistración del servicio de tercerosAdmon de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdmistración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones
Como ProductoComo Producto
• Resumen Ejecutivo• Marco de Referencia (Framework)• Objetivos de Control• Guías de Auditoría• Guías de Administración • Herramientas de implementación• CD-ROM• 2a Edición disponible en español
- Resumen Ejecutivo- Resumen Ejecutivo
• Documento dirigido a la alta gerencia
• Presenta los antecedentes y la estructura básica de COBIT.
• Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
-- Marco de ReferenciaMarco de Referencia
• Incluye la introducción contenida en el resumen ejecutivo
• Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT.
• Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
- Objetivos de Control- Objetivos de Control
• Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia
• Presenta los objetivos de control detallados para cada uno de los 34 procesos.
• En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
- Guías de Auditoría- Guías de Auditoría
• Se hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos).
• Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guías de AdministraciónGuías de Administración
• Se enfoca de manera similar a los otros productos• Integra los principios del Balanced Businnes
Scorecard.• Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra losconceptos de:– Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de TI– Factores Críticos de Éxito a tener en cuenta para
mentener bajo control los procesos de TI.
Herramientas de Herramientas de ImplementaciónImplementación
• Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT
• Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI
• Respuestas a las 25 preguntas mas frecuentes sobre CobiT
CD-ROMCD-ROM
• El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso.
• Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.
Comparación de conceptos Comparación de conceptos de Control Internode Control Interno
CobiT 1996/1998
COSO 1992SAC 1991/1994
SAS 55 - 1988
Definición deControl Interno
Definición de Objetivos de Control de T I
SAS 78 - 1995
Conceptos de Control Interno
Conceptos de Control Interno
enmienda
Contribucionesal concepto de Control Interno
Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI
Auditores Internos Administración Auditores Externos
El Control Interno es Visto como
Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional
Conjunto de procesos, subsistemas y personas
Procesos Procesos
Los Objetivos Organizacionales de Control Interno
Efectividad y Eficiencia de las operaciones
Confidencialidad, Integridad y disponibilidad de la información
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de las operaciones
Confiabilidad en los reportes financieros
Cumplimiento con leyes y normas
Componentes o Dominios Dominios:
Planeación y Organización
Adquisición e implantación
Servicio y Soporte
Seguimiento
Componentes:
Ambiente de Control
Sistemas Manuales y Automatizados.
Procedimientos de Control
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la Efectividad del Control I.
Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Responsable por el Control Interno
Administración Administración Administración Administración
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
GRACIAS POR GRACIAS POR ASISTIR A ESTAASISTIR A ESTACONFERENCIACONFERENCIA
www.isaca.orgwww.isaca-bogota.org